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@ Eingabeverfahren zur Authentifizierung 

(57) Die Erfindung betrifft ein Verfahren zur Eingabe eines 
Authentifizierungscodes. Erfindungsgemafc wird auf ei- 
ner Anzeigeeinrichtung eine Sequenz aus mehreren Bil- 
dern dargestellt, wobei jedes der Bilder wahrend einer be- 
grenzten Anzeigedauer dargestellt wird, den Bildern oder 
Bildteilen jeweils ein Code zugeordnet ist, und aus dem 
Code und/oder einem Zeitwert der Authentifizierungsco- 
de berechnet wird. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zur Eingabe 
eines Authentifizierungscodes. 

f00021 Ein solcher Authentifizierungscode ist beispiels- 5 
weise ein Passwort oder eine personliche Identifizierungs- 
nummer (PIN). Ein solcher Code wird im Allgemeinen uber 
eine Tastatur eingegeben. 

[0003] Probleme bei dieser Methode sind zum Einen das 
unbeobachtete Eingeben des Codes und zum Anderen das 10 
Merken desselben. 

[0004] Der Erfindung liegt die Aufgabe zugrunde, ein ein- 
f aches und sicheres Eingabe verfahren fiir einen Authentifi- 
zierungscode anzugeben. 

[0005] Diese Aufgabe wird erfindungsgemaB durch die im 15 
Patentanspruch angegebenen Merkmale gelost. 
[0006] Im Folgenden wird die Erfindung anhand eines 
Ausfiihrungsbcispiclcs bcschricbcn. 

[0007] Das erfindungsgemaBe Eingabeverfahren ermdg- 
licht eine kreative und person alisierbare Zugangssicherung. 20 
[0008] Die Erfindung geht aus von einem visuellen Einga- 
bemechanismus. Bei diesem werden die alphanumerischen 
Zeichen des Authentifizierungscodes durch Bilder ersetzt. 
Auf dem Bildschirm werden beispiels weise zehn Bilder dar- 
gestellt, wobei jedem der Bilder ein Buchstabe beziehungs- 25 
weise eine Ziffer zugeordnet ist. Der Benutzer weiss welche 
Bilder er in welcher Reihenfolge anklicken muss, urn so den 
entsprechenden Code einzugeben. Der Benutzer kann hierzu 
personliche Bilder verwenden, was die Merkbarkeit erleich- 
tert. 30 
[0009] ErfindungsgemaB wird eine Bildsequenz, das 
heisst eine Aufeinanderfolge von Bildern auf der Anzeige- 
einrichtung dargestellt. Auch hier ist wieder jedem der Bil- 
der ein alphanumerisches Zeichen zugeordnet. Es kann da- 
bei ein Videofilm verwendet werden, oder auch im einfach- 35 
sten Fall eine Folge von unabhangigen Standbildem. Jedes 
der Bilder erscheint beispiels weise fur eine Sekunde, und 
kann wahrend dieser Zeitspanne durch Anklicken ausge- 
wahlt werden. Durch die Auswahl wird das diesem Bild zu- 
geordnete Zeichen fur die Eingabe des Authentifizierung- 40 
scodes aktiviert. 

[0010] Bei einer Weiterbildung der Erfindung ist nur ein 
Bildteii aktivierbar. Dieser Teil ist beispielsweise durch 
seine Koordinaten gegeben, die einen Code darstellen. Die- 
ser Code wird, bei einer weiter Ausgestaltung der Erfindung 45 
zusammen mit einem Zeitwert, bei einer Berechnung des 
Authentifizierungscodes verwendet. Der Zeitwert kann 
durch die Anzeigedauer des betreffenden Bildes gegeben 
sein. 

[0011] Weiter kann bei der Berechnung des Authentifizie- 50 
rungscodes noch ein Verschlusselungsalgorithmus einge- 
setzt werden. 

[0012] Durch die zeitliche Einschrankung wird die Sicher- 
heit bei der Codeeingabe erhoht. 
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Patentanspruche 



Verfaliren zur Eingabe eines Authentifizierungscodes, 
dadurch gekennzcichnet. dass auf einer Anzeigeein- 
richtung eine Sequenz aus mehreren Bildern dargestellt 60 
wird, wobei jedes der Bilder wahrend einer begrenzten 
Anzeigedauer dargestellt wird, den Bildern oder Bild- 
teilen jeweils ein Code zugeordnet ist, und aus dem 
Code und/oder einem Zeitwert der Authentifizierung- 
scode bcrcchnct wird. 65 
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Evaluating Security of a Simple Interactive Human 
Identification Scheme* 
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SUMMARY Password checking schemes are human identifi- 
cation methods commonly adopted in many information systems. 
One of their disadvantages is that an attacker who correctly ob- 
served an input password can impersonate the corresponding user 
freely. To overcome it there have been proposed interactive hu- 
man identification schemes. Namely, a human prover who has 
a secret key is asked a question by a machine verifier, who then 
checks if an answer from the prover matches the question with re- 
spect to the key. This letter examines such a scheme that requires 
relatively less efforts to human provers. By computer experiments 
this tetter evaluates its resistance against a type of attack; after 
observing several pairs of questions and correct answers how suc- 
cessfully can an attacker answer the next question? 
key words: authentication, human cryptography, human inter- 
face, identification, information security, passwords 

1. Introduction 

Figure 1 illustrates the above mentioned difference 
between conventional password schemes and interac- 
tive human identification schemes firstly examined in 
Ref. [I]. A brief description on the feature and the sig- 
nificance of the latter class by contrast with schemes 
requiring auxiliary devices for provers can be also 
found in Ref. [1]. A simple interactive identification 
scheme [2] is easy to understand and requiring no ran- 
domness to make an answer. However its security is not 
clearly developed in Ref. [2]. It is thus interesting to in- 
vestigate if the scheme achieves acceptable security level 
with moderate sizes of parameters. This letter experi- 
mentally clarifies the resistance of the scheme against a 
scenario of attack. 

2. The Scheme 



For (j,Qj), Qj is called the j-th cell of Q and j is called 
the cell id of cell Qj. Let Q (j , £) (f>) denote the set of all 
ordered uniform 5-partitions of f>. 

Now we formally define the scheme as a protocol 
conducted by two players, Prover and Verifier. 

Definition 2: Scheme D 
Preparation Phase 

0. Prover and Verifier agree on positive integers s, c, 
u, set Q of s • t elements, and k = [k\, fc 2l • ■ • , k u ], 
called a key, randomly and uniformly selected from 
fi u . Prover and Verifier keep k secret. 

Execution Phase 

1. Verifier selects an ordered uniform s-partition, Q, 
called a question, randomly and uniformly from 
Q(5.e)(f*). and <* is P lavs Q 

2. Given Q = {(j i Q j )\j = 1,2,- • •,$}, Prow com- 
poses an answer, 

a = {(t.aOlfcf € Q a ,; i = 1, 2, ... f u}, 

using k, and inputs a to Verifier. In other words, 
for each i = 1,2,...,^ Prover hnds the cell contain- 
ing ki, and puts its cell id as a,. 

3. Verifier checks whether a matches Q with respect 
to k, namely, ki € Q a , for every i = 1.2. - ^u, 
Verifier accepts Prover if and only if a matches Q. 



Definition 1: For positive integers s and t y let Q be a 
set of .s • t elements. An ordered uniform s-partition of 
f> is defined by 

c? = [ij.Qj) IQ.cn: \jQj = n, 

#Qj=t: j — 1,2, .-.,5}. 

Manuscript received October 23. 1994. 
Manuscript revised December 22, 1994. 
'The authors are with the Division of Electrical and 
Computer Engineering, Yokohama National University. 
Yokohama-shi. 240 Japan. 

' A preliminary version of this work was presented at the 
1994 IEICE Fall Conference: Presentation A-190. 
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Fig. 1 Conventional password schemes & interactive human 
identification schemes. 
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• Question : Placement of colors. 

(4 colors *9 symbols) 

• Answer : Color of each symbol in the key. 



Fig. 2 A graphical implementation of Scheme D. 



Figure 2 shows a graphical implementation of 
Scheme D, where parameters (s,t,u) are (4,9,8), Q = 
{0 r --,9,A.--,Z}, and k = [N, H, 0, T, U, 9, O, H)\ 
Colors in Answer Pane! correspond to cell ids L 2, 3, 
4, from the left to the right. 

3. The Attack 

When the third player, Attacker, cannot peep questions 
and answers, he can make a correct answer that matches 
a newly given question with probability l/s u . 

Next, assume Attacker can peep pairs of questions 
and correct answers transferred in n 1) rounds of 
executions. For r = 1, • • • ,n, let Q< r) = {{j,Q { p)\j = 

1.2. •..,«} and a< r > = {{i,a[ r) )\i = 1,2, be the 

pair observed in the r-th round. Using these data At- 
tacker tries to make a correct answer that matches a 
newly given question. 

Definition 3: Attack 

For n ^ 1 Attacker computes the set of candidate keys: 



Given question Q % for i = u, A ttacker finds d t that 

is any integer j (= 1. • • • . s) maximizing #(A* l (n) n 
Then Attacker sends to Verifier 

a = = I.2. -- .u} 

as the candidate answer to Q. 

It is easy to see that k, e I\[ n) for { = !,••■,«. 



P(n) 




Fig. 3 Success rate P(n) vs. number of pairs n. 



4. Experimental Result and Discussion 

We conducted a computer experiment for u — 8 and 
( 5 ,0 = (3,12),(4,9),(6,6),(9,4), namely s ■ t = 36. 
These parameters fit the practical implementation where 
relatively tractable eight alphanumeric characters can be 
used as a key. For each n( = 1, 2, • - • , 9), the experiment 
attacked the scheme 10 5 times. Figure 3 plots the success 
rate P(n). P(0) is set as l/s u . 

The described attack seems powerful but not opti- 
mal since it doesn't utilize the information obtained by 
unsuccessful answering. Figure 3 tells that the success 
rate P(n) for Scheme D is not equal to 1 with small val- 
ues of n. If a bigger u is adopted a smaller P(n) can be 
achieved but larger capacity may be required to'mem- 
orize a key. In contrast, the simple password scheme 
with a password k € Q has the profile that when n = 0 
the success rate is 1/(5 • t) u l/s u but it is 1 for any- 
positive n. 

Remaining research subjects include: Evaluating 
the security of Scheme D under the condition that At- 
tacker can impersonate Verifier and choose questions; 
Constructing practical interactive human identification 
schemes stronger than Scheme D in a way thai their 
resistance can be formally assured. 
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